近年来,数据安全管理不当导致的个人信息数据泄露、滥用等问题不仅严重危害广大个人信息主体的合法权益,还直接损害企业的商业利益与声誉。随着《数据安全法》《个人信息保护法》等国家法律法规及行业监管要求的相继实施,如何及时发现数据安全风险,切实保障用户个人信息权益,实现数据、个人信息安全成为企业发展的重要议题。
2021年,全球发生多起数据安全事件,涉及各国电商、互联网、金融等领域的多个知名企业,部分企业被开出“天价”罚单或需承担高昂赔偿。我们在此进行整理与总结。
一、 2021年两大类数据安全事件引发行业震动
(一) 个人数据收集、处理不当,企业将面临监管重罚
亚马逊因个人数据处理不当被罚7.46亿欧元
因对个人数据的处理违反欧盟《通用数据保护条例》(以下简称GDPR),美国电商巨头亚马逊被负责监管亚马逊数据保护的卢森堡当局重罚7.46亿欧元,系迄今欧盟对违反GDPR的企业开出的最重罚单。
(信息来源:新浪财经)
WhatsApp因个人数据收集、处理不“透明”被罚2.25亿欧元
因未能充分告知用户其个人信息收集、处理的相关事项(包括如何与母公司Facebook共享以上信息),违反GDPR,Facebook旗下的即时聊天软件WhatsApp被爱尔兰数据保护监管机构处以2.25亿欧元罚款。
(信息来源:新浪财经)
514款APP侵害用户权益被工信部通报下架
因存在超范围、高频次索取权限、非服务场景所必需收集用户个人信息、欺骗误导用户下载等违规行为,2021年内共计有514款拒不整改的APP被工信部进行公开通报并下架。针对部分违规情节严重、拒不整改的APP,其属地通信管理局对APP运营主体依法予以行政处罚。
(信息来源:央视网)
(二) 重要数据泄露,企业需承担管理责任
加密货币交易所BitMart遭黑客窃取1.5亿美元加密货币,平台承诺赔付受害用户
因ETH、BSC热钱包的私钥被盗致使黑客攻击,加密货币交易所BitMart约1.5亿美元的加密通货被转出,经业内估值该起事件造成的损失可能高达2亿美元。事发后,BitMart宣布将使用自有资金赔付本次事件中的所有受害用户。
(信息来源:腾讯新闻、腾讯云社区)
英国教育巨头Pearson因掩盖数据泄露被罚100 万美元
因未及时修补关键漏洞致使黑客入侵,且在数据泄露事件发生后试图掩盖事件等行为,英国跨国教育出版服务公司Pearson被美国证券交易委员会(以下简称“SEC”)要求支付100万美元罚款。该数据泄露事件导致美国1.3万所学校的学生、管理员登录凭证信息泄露。
(信息来源:Freebuf)
多家银行因数据泄露、数据安全管理等问题被罚
因涉及客户信息收集、管理、保护不当、违规存储客户敏感信息、发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息、信息系统管控有效性不足等问题,2021年内多家银行被中国银行保险监督管理委员会(以下简称“银保监会”)罚款,罚款总额达到千万元,单笔罚单金额最高达400余万元。
(信息来源:银保监会官方网站)
二、 为什么以上两类数据安全事件频发?
(一) 用户个人信息使用的知情权、选择权遭到侵害
通过上述案例可以发现,用户对于其个人信息的使用情况是否享有知情权、选择权是各国监管部门关注的焦点。许多企业通过隐私政策,实现了用户个人信息数据的“一揽子”收集与权限获取,却未履行基于特定、明确、合法目的收集、利用用户个人信息的义务,或在达成目的后未及时删除数据、因内部管理过失致使用户隐私泄露,均构成对用户个人信息权益的严重侵害。
此外,部分企业在产品迭代过程中调整了个人信息数据的获取范围,但未能同步更新隐私政策并告知用户,或未能建立有效的用户个人信息安全投诉、举报渠道与制度流程,同样面临潜在的合规风险。
(二) 企业重要系统的安全“防线”尚存缺陷
虽然各国监管部门对于企业数据泄露事件的责任主体、责任划分、法律适用性等方面尚不统一,然而企业作为数据的持有者,如果未能对涉及重要业务数据、用户敏感数据的信息系统进行重点防护(如:定期漏洞扫描、开展安全走查与评估等措施),或未能及时发现、阻止内部人员“泄密”、“失密”行为,最终导致数据泄露事件发生,同样难辞其咎。
三、 如何管理数据安全风险,保障个人信息主体权益?
针对上述问题,企业亟需树立数据安全风险意识,严守经营底线与监管“红线”,从管理与技术两个方面合力保障数据安全合规。
然而,由于数据形式多样、流转环节复杂、分布位置广泛、敏感数据所涉人员众多,随着监管要求趋严,数据安全事件发生概率高、影响范围大、损失重。
为解决敏感数据所面临的安全风险定位难、管理难等问题,中国信息通信研究院围绕行业发展与安全并重的总体目标,从数据的全生命周期安全入手,建立数据安全风险、个人信息保护评估框架。现正式推出数据安全风险评估服务与个人信息保护风险评估服务,以下为具体介绍:
(一) 数据安全风险评估介绍
数据安全风险评估服务依据国家法律法规、行业监管要求,对系统所涉及的管理安全、数据全生命周期安全、应用安全进行全面风险分析。数据安全风险评估服务围绕系统人员管理、数据全生命周期安全、用户权利保障、安全事件应急等方面开展风险评估,帮助企业识别各类数据安全风险,综合判断数据安全风险等级、整改成本与管理需求,向企业交付数据安全风险评估报告,提供整改建议,助力企业数据安全风险整改闭环,提升企业数据安全风险防控能力。
联系人:龚诗然 gongshiran@caict.ac.cn
(二) 个人信息保护风险评估介绍
个人信息保护风险评估服务参考国家法律法规要求,对信息系统所涉及的个人信息数据处理活动进行专项分析。个人信息保护风险评估服务以安全与合规的视角深入研讨企业用于保护个人信息数据的管理、技术措施有效性,帮助企业发现其个人信息保护工作所面临的风险,综合判断风险等级,向企业交付个人信息保护风险评估报告,提供整改建议,助力企业落实个人信息保护责任。
联系人:郝志婧 haozhijing@caict.ac.cn
中国信息通信研究院现正式开展首批数据安全风险评估、个人信息保护风险评估工作,启动首批评估试点单位征集,欢迎报名!